V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

Výzkumný tým společnosti Check Point v uplynulých týdnech objevil v marketu Google Play devět aplikací obsahující nebezpečný malware. V aplikacích byl ukrytý škodlivý program Clast82 typu dropper (tzv. kapátko), který do telefonu dokáže bez vědomí uživatele nainstalovat („nakapat“) další malware a vyhnout se kontrolám ze strany Google Play. Hackeři pak s pomocí tajně instalovaného malwaru mohou na dálku prakticky kompletně ovládnout telefon oběti.

Celý útok je velmi sofistikovaný a obsahuje narušení hned v několika typech aplikací. Clast82 nainstaluje do mobilu malware v podobě služby AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.

Zároveň s tím útočníci použili mechanismy na obejití kontrolních mechanismů Google Play, které mají běžně za úkol detekovat škodlivé aplikace. Pro komunikaci s řídicím C&C serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Hacker tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.

Hackeři „nakazili“ dropperem Clast82 tyto známé aplikace pro Android:

Název aplikace

Název balíčku

Cake VPN

com.lazycoder.cakevpns

Pacific VPN

com.protectvpn.freeapp

eVPN

com.abcd.evpnfree

BeatPlayer

com.crrl.beatplayers

QR/Barcode Scanner MAX

com.bezrukd.qrcodebarcode

eVPN

com.abcd.evpnfree

Music Player

com.revosleap.samplemusicplayers

tooltipnatorlibrary

com.mistergrizzlys.docscanpro

QRecorder

com.record.callvoicerecorder

Check Point odhalil zranitelnost v marketu Google Play a následně o nálezu informoval 28. ledna 2021 společnost Google. Už 9. února 2021 Google potvrdil, že všechny odhalené aplikace infikované dropperem Clast82 byly z Google Play odstraněny. „Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase. Oběti si myslely, že stahují neškodnou utilitu z oficiálního obchodu pro Android, ale ve skutečnosti si stáhly také nebezpečný trojan, který cílil na finanční účty,“ objasnil princip fungování hackerského útoku Petr Kadrmas, bezpečnostní inženýr ze společnosti Check Point.

Jak probíhá útok přes Clast82:

  1. Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82.
  2. Clast82 následně komunikuje se svým velícím a řídicím serverem (C&C Server) a dostane další instrukce.
  3. Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů.
  4. Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením.
Diskuze (9) Další článek: Deepfake ve službách humoru. Aplikace Wombo rozezpívá každou selfie

Témata článku: Android, Aplikace, Google Play, Bezpečnost, Hrozba, Zabezpečení, Malware, Check Point, VPN, Zranitelnost, C, QRecorder, Petr Kadrmas, Hacker, Telefon, Vědomí, GitHub


Určitě si přečtěte

AAWireless: malá krabička, která zpřístupní Android Auto i bez kabelu
Jan Láska
Chytré autoAndroid AutoPro řidiče
RECENZE: Nokia 8.3 5G – dlouhé čekání na telefon Jamese Bonda

RECENZE: Nokia 8.3 5G – dlouhé čekání na telefon Jamese Bonda

** Design a modrá barva je parádní, to se musí nechat ** Výkony ultraširokého foťáku jsou slabé, škoda ** Telefon má čistý Android 11, ten ale bude potřebovat péči

Jakub Michlovský | 16

Jakub Michlovský
Android OneRecenze
Android 12: Nainstalovali jsme první preview, tady jsou hlavní novinky
Filip KůželVladislav Kluska
Android 12Video
Samsung Galaxy Watch 4 se blíží. Hodinky zřejmě dokáží změřit glykémii
Martin Chroust
Krevní cukrSpekulace
Hodinky Huawei se naučily instalovat aplikace a reagovat na notifikace. Ale…
Filip Kůžel
Polochytré hodinkyTýden mobilně